A cura di Nicola Sotira
L’accelerazione del digitale ha messo in evidenza come la sicurezza cyber sia oggi uno dei problemi da mitigare per garantire una transizione di successo. Vivere “OnLife”, neologismo coniato nel 2013 dal Prof. Luciano Floridi per definire la nuova società digitale, rende sempre più impercettibile la distinzione tra reale e virtuale.
OnLife è dunque la nuova dimensione dove il passaggio dall’analogico al digitale sta cambiando il mondo e anche la natura umana nella sua relazione con l’ambiente, costringendoci a una ridefinizione della nostra identità. Proprio per questo motivo si parla di metamorfosi digitale e non più di trasformazione, questo poiché la metamorfosi è propria degli organismi viventi. Una metamorfosi digitale che sta cambiando le nostre abitudini e le nostre interfacce, un futuro digitale sul quale si interroga anche Shoshana Zuboff, docente della Harvard Business School e autrice del saggio “Il capitalismo della sorveglianza”. Uno degli interrogativi con cui si apre il libro è: “Potremo chiamare casa il futuro digitale?”, una domanda che resta aperta in uno scenario nel quale il mondo digitale prende il sopravvento e l’idea di un futuro prevedibile svanisce pian piano. Fondamentale diventa, in questo contesto, il tema della conoscenza sia per quanto concerne la formazione delle nuove generazioni, sia per quanto concerne l’utilizzo degli strumenti digitali, sul delicato terreno della sicurezza.
La consapevolezza della cyber security e sull’uso consapevole delle tecnologie digitali può garantire alle organizzazioni, ed al paese, la resilienza necessaria alla sopravvivenza in questo dominio digitale.
Le istituzioni e le organizzazioni hanno una maggiore probabilità, oggi, di ricevere attacchi di phishing o ransomware e molti dei loro dipendenti e/o clienti non sanno nemmeno che cosa significhino queste due sigle. Nonostante implementino tecnologie di sicurezza sempre più efficaci, insieme a processi e policy che migliorano il governo della sicurezza, tutto può essere compromesso da utenti scarsamente preparati, mettendo così a serio rischio l’organizzazione e tutti gli investimenti in materia di sicurezza.
Le nuove frontiere della prevenzione passeranno tutte attraverso attività strutturate di formazione e sensibilizzazione dirette sia ai clienti che ai dipendenti che dovranno diventare, pertanto, una parte integrante del nostro programma di sicurezza ed essere, al tempo stesso, continue poiché gli strumenti di attacco evolvono e gli attaccanti troveranno sempre nuove metodologie.
Sono molti i passi da compiere, dal coinvolgimento delle corrette strutture aziendali, alla definizione dei contenuti, all’adozione di strumenti innovativi alla misurazione continua per garantire il raggiungimento degli obiettivi attesi.
Al fine di avviare la campagna in modo corretto sarà fondamentale capire lo stato attuale della sicurezza e individuare le aree che richiedono un miglioramento. Tutto questo dovrà essere documentato insieme alle metriche che si deciderà di utilizzare per determinare l’efficacia della campagna.
Fattori determinanti per il successo di progetti di sensibilizzazione saranno con certezza la motivazione dei partecipati, il commitment aziendale sia nel guidare l’iniziativa sia per fungere da esempio e motore del cambiamento, la continuità delle attività che non devono essere pensate “a spot”, le tempistiche delle attività che dovranno essere curate con attenzione, le misurazioni che dimostrino l’effettivo miglioramento o meno della performance aziendale sul terreno della cyber security.
In molte organizzazioni questi programmi, soprattutto sui temi di cyber security, vengono percepiti come impegnativi. Il coinvolgimento dell’utente e l’entusiasmo sono indispensabili per indurre un reale cambiamento nei comportamenti quotidiani.
Non esiste una ricetta da seguire, un approccio unico, il programma deve essere pensato “a misura” della vostra organizzazione e testato sulle risorse principali su cui fare leva: le persone.
È possibile coinvolgerle utilizzando tecniche di gamification e facendo largo uso di materiale multimediale (come filmati, cartoon ecc.), definendo piani di sviluppo o sistemi di premi o attingendo anche al loro senso di comunità. Qualunque sino la modalità più idonee è necessario identificarle prima dell’avvio del programma di awareness. Bisogna precisare che occorre un’analisi attenta di quei complessi cognitivi e fattori emotivi che giocano un ruolo essenziale nel mantenimento di attenzione al programma.
È fondamentale misurare, attraverso metriche oggettive, la security awareness per verificare che le attività previste nel programma siano svolte nei tempi corretti, seguite con profitto e interesse e trasformate in conoscenza effettiva; queste misure specifiche mirano quindi a valutare il “successo” di una campagna per verificarne il coinvolgimento e il consenso del target scelto.
Molti di questi aspetti sono analizzati nel nuovo libro della Fondazione Global Cyber Security Center – GCSEC “Il fattore umano nella cyber security – Valori e strategie da costruire insieme” edito da Franco Angeli Edizioni e disponibile dal 13 febbraio.
Molteplici sono i target di riferimento: dai team che operano nell’ambito della tutela aziendale, ai professionisti delle Risorse Umane, alle aree della comunicazione e della formazione, al variegato fronte dei professionisti impegnati a far crescere e a diffondere un’adeguata cultura della prevenzione del rischio.
Gli autori, esperti di cyber security, offrono una lettura ragionata delle esperienze e delle best practice di successo. Nel corso della trattazione, che si caratterizza per il suo approccio pragmatico, vengono, illustrati i contenuti da veicolare, le tecniche, i linguaggi e i requisiti principali che possono determinare una campagna di successo. Si possono trovare esempi interessanti e le esperienze di un team che ha approcciato in maniera strutturata la formazione in tema cyber security, cercando di utilizzare al meglio tutti i canali che il digitale ci mette oggi a disposizione.